Como usar o sistema de detecção de invasões de snort

Ejecute Snort en Linux e proteja su red com anlisis de trfico em tempo real e deteco de amenazas. La seguridad lo es todo y Snort es de primera clase. Este cerdo podra salvar tu tocino.

índice de conteúdo

  1. Que é Snort?
  2. Las reglas de la bocanada
  3. Instalação de Snort
  4. Configuração de snort
  5. Actualizacin de las reglas de snort
    1. Modo promíscuo
    2. Resoplo corriendo
  6. Próximos passos

Que é Snort?

Snort é um dos sistemas de detecção de intrusões em vermelho (NIDS) ms conhecido e utilizado. Ha sido calificado como um dos projetos de cdigo aberto ms importantes de todos os tempos. Desarrollado desde a origem da Sourcefire, foi administrado pelo Talos Security Intelligence and Research Group da Cisco que a Cisco adquiriu a Sourcefire em 2013.

Snort analisa o tráfego de la red en tiempo real e informa de cualquier atividade sospechosa. Em particular, busque cualquier cosa que pueda indicar intenções de início de sessão não autorizados e outros ataques ao vermelho. Um jogo completo de regras define qu cuenta como "sospechoso" e qu debera hacer Snort se ativa uma regra.

De la misma manera que os pacotes antivírus e antimalware se basearam nas definições de firmas de vírus atualizadas para poder identificar e proteger as últimas ameaças, as regras do Snort se atualizam e se voltam a publicar com frequência para que o Snort funcione com maior eficácia .

Las reglas de la bocanada

Hay tres conjuntos de regulamentações:

  • Regras da comunidade: Estos são conjuntos de regras de acesso livre criados pela comunidade de usuários de Snort.
  • Reglas registradas: Talos fornece os conjuntos de regulamentações. Tambin estn disponibles de forma gratuita, deve ser registrado para obtenerlos. El registro é gratuito y solo toma un momento. Recebe um cdigo pessoal que deve ser incluído na solicitação de descarga.
  • Normas de inscrição: Estas são as irregularidades das normas que são registradas. Sem embargo, os subscritores receberam as regras aproximadamente umas antes do lançamento como um conjunto de regras gratuitas para usuários registrados. No momento de escrever este artigo, as inscrições de 12 meses estão disponíveis em $ 29 USD para uso pessoal e $ 399 USD para uso comercial.

Instalação de Snort

Em um momento, a instalação do Snort era um manual de processo largo. No fue difcil, pero haba muchos pasos y era fcil pasar por alto uno. As principais distribuições do Linux facilitam as cosas do sistema que o Snort está disponível em seus repositórios de software.

As versões nos repositórios a veces se quedan atrs de la ltima versin disponible no site web de Snort. Se você quiser, pode baixar e instalar desde a fonte. Siempre que tenga la ltima reglas , no import si tu Snort no es el ltimo y el mejor, siempre que no sea antiguo.

Para investigar este artigo, instale o Snort no Ubuntu 20.04, Fedora 32 e Manjaro 20.0.1.

Para instalar o Snort no Ubuntu, use este comando:

 sudo apt-get install snort 

A medida que avanza la instalacin, se le harn un par de preguntas. Você pode encontrar as respostas que estão usando o comando ip addr antes de avaliar a instalação ou uma saída de terminal separada.

 endereço IP 

Anote o nome de sua interface de vermelho. Neste computador de investigação, é enp0s3.

Adems, su direccin IP. Este computador tem um endereço IP de 192.168.1.24 . El extra " /24 Es la notacin de enrutamiento entre dominios sin clases (CIDR). Isto nos dice el rango de direcciones de la red. Significa que esta red tiene uma mscara de subred de 255.255.255.0 , que tiene tres conjuntos iniciais de ocho bits (y 3 x 8 = 24). Não há necessidade de se preocupar com o registro muito por isso, simplesmente com o IP de direção incluindo a nota CIDR. .En nuestro ejemplo, está em 192.168.1.0/24.

Pressione "Tab" para resaltar o botão "OK", pressione "Enter".

Escreva o nome da interface de red e pressione "Tab" para resaltar o botn "Aceptar", pressione "Enter".

Escreva o intervalo de direções de vermelho no formato CIDR, pressione "Tab" para resaltar o botn "Aceptar" e pressione "Entrar".

Para instalar o Snort no Fedora, é necessário usar os comandos:

 rpm -Uvh https://forensics.cert.org/cert-forensics-tools-release-32.rpm 

 sudo dnf instalar snort 

En Manjaro el comando que necesitamos não es el habitual pacman , es pamac . Y não precisamos usar sudo :

 pamac instalar snort 

Se você quiser criar o Snort do Arch User Repository (AUR), pressione "Y" e pressione "Enter". Não queremos modificar os arquivos de compilação, pois responde esta pregunta presionando "N" e presionando "Enter". Pressione "Y" e pressione "Enter" cuando se le pregunte se debe aplicar a transação.

Se le pedir su contrasea.

As versões do Snort instaladas foram:

  • Ubuntu: 2.9.7.0
  • Fedora: 2.9.16.1
  • Manjaro: 2.9.16.1

Puede verificar su versin usando:

 bufar --versão 

Configuração de snort

Hay algunos passos que debe completar antes de poder executar o Snort. Precisamos editar o arquivo "snort.conf".

 sudo gedit /etc/snort/snort.conf 

Encuentra la lnea que dice " ipvar HOME_NET any "y cmbielo para reemplazar" cualquiera "com o rango de direcções de notação CIDR de su red.

Guarde los câmbios e cierra el archivo.

Actualizacin de las reglas de snort

Para garantir a cópia do Snort ofrezca no nível ms alto de proteção, atualize as regras para a versão final. Isso garante que o Snort tenha acesso ao último conjunto de definições de ataques e ações de proteção.

Para registrar e obter o seu cdigo oink , você pode usar o comando siguiente para baixar o conjunto de regras para usuários registrados. A página de download do Snort enumera os conjuntos de regulamentações disponíveis, incluindo o conjunto de regulamentações da comunidade para o que não é necessário registrar.

Descargue o conjunto de regras para a versão de Snort que haya instalado. Estamos baixando a versão 2.9.8.3, que é o ms cercado da versão 2.9.7.0 do Snort que estaba no repositório do Ubuntu.

 wget https://www.snort.org/rules/snortrules-snapshot-2983.tar.gz?oinkcode=<seu código oink vai aqui> -O snortrules-snapshot-2983.tar.gz 

Assim que terminar o download, use este comando para extrair as regras e instalar no diretório "/ etc / snort / rules".

 sudo tar -xvzf snortrules-snapshot-2983.tar.gc -C /etc/snort/rules 

Modo promíscuo

Las tarjetas de interfaz de red generalmente ignoran el trfico que no est designado a su direccin IP. Queremos que o Snort detecte o tráfego de red sospechoso acionando um dispositivo cualquier de la red, no solo el trfico de red que se enva a la computadora en la que est instalado Snort.

Para que a interface de rede do computador Snort escute todo o tráfego da rede, devemos configurar a forma de promiscuo. O seguinte comando faz com que a interface de red enp0s3 funcione em modo promíscuo. Substitua enp0s3 com o nome da interface de rede que está sendo usada em seu computador.

 sudo ip link set enp0s3 promisc ativado 

Se estiver executando o Snort em uma máquina virtual, recupere também ajustar a configuração em seu hipervisor para o adaptador de red virtual que utiliza sua máquina virtual. Por exemplo, no VirtualBox, debes subir Settings > Network > Advanced e alterar o modo "Modo promiscuo" para "Permitir todo".

RELACIONADOS: Como usar o comando ip no Linux

Resoplo corriendo

Ahora puede iniciar Snort. O formato do comando é:

 sudo snort -d -l /var/log/snort/ -h 192.168.1.0/24 -A console -c /etc/snort/snort.conf 

Substitua o intervalo de IP de seu vermelho no lugar de 192.168.1.0/24 .

As opções de linha de comando utilizadas neste comando son:

  • -D: Filtrar pacotes a nível de aplicação.
  • -l / var / log / sniff /: Configura o diretório de captura.
  • -h 192.168.1.0/24: Não está configurado o red domstica, que está configurado no arquivo "snort.conf". Com este valor estabelecido no mismo valor que da rede doméstica, os registros se estruturou o modo que o conteúdo dos computadores remotos sospechosas foi registrado nos diretórios que llevan o nome de cada computador remoto.
  • -Una consola: Enve alertas a la ventana de la consola.
  • -c /etc/snort/snort.conf: Indica que arquivo de configuração do Snort pode ser usado.

Snort desplaza uma grande quantidade de resultados na saída do terminal, entre no modo de monitoramento e análise. A menos que detecte atividade sospechosa, você não ver ningn resultado em la pantalla.

Desde otra computadora, comenzamos uma atividade geradora maliciosa dirigida diretamente a uma nuestra computadora de prueba, en la que se estaba ejecutando Snort.

Snort identifica o tráfego vermelho como entradas de registro falso, enva alertas a la ventana de la consola y escribe.

Os ataques classificados como ataques de "fuga de informacin" significam que sua intenção é interrogar seu computador na busca de informações que pudiera ayudar a um atacante. Esto provavelmente indica que alguien est reconhecendo seu sistema.

Os ataques classificados como ataques de "Denegacin de service" indicam uma intenção de inundar o computador com tráfego de vermelho falso. O ataque intenta abrumar su computadora hasta el punto de que no puede continuar brindando sus servicios.

Para verificar se o modo promiscuo está funcionando corretamente e salvaguardando todo o rango de direções de vermelho, envie-nos trágico malicioso a outro computador e pareça que o Snort detecta.

A atividade e a atividade foram registradas e relatadas e podemos ver que este ataque foi acionado contra um computador diferente com um IP direto de 192.168.1.26 . Snort está monitorando todo o rango de direções deste red.

Próximos passos

Para manter sua vigilância, Snort necesita regulamentações atualizadas. Você pode escrever um pequeno script e inserir os comandos para descarregar e instalar as regras e estabelecer um cron trabajo para automatizar o processo chamando o script periodicamente. O script pullpork é um script listado para ser usado de forma precisa e, portanto, não há como escrever o código.

Snort no tiene una interfaz de usuario grfica o frontal. Os projetos de terceiros criaram vários e é possível que você procure investigar alguns de ellos, como Snorby y Squil.

  • Play Store tem um jogo sem conexão oculta no Android
  • Como usar filtros e mscaras no Google Meet

Descobre ms contenido

Google Pixel Watch também tem detecção de cadas, pero no hasta el prximo ao

Las melhores tazas de caf calentadas de 2022

Cmo automatize seu iPhone segn el tiempo, la actividad ou la ubicacin

"Eso debe haber sido antes de mi tiempo"

Por qu la NASA enva a Snoopy a la Luna? – Revisando geek

Qu es una carga fantasma?

Deja una respuesta Cancelar la respuesta

¿Como instalar o SNORT no Windows?

5:19 17:59 Sugestão de vídeo · 49 segundos

Como INSTALAR SNORT em Windows e saber se você PC é um zumbi YouTube Início do vídeo indicações Final do vídeo indicações

Quer instalar o SNORT?

Manual de instalação do Snort

Debemos baixar o pacote de fonte de DAQ mais recente do site web do Snort com o comando wget. Antes de continuar, a última versão requer um passo adicional para reconfigurar automaticamente o DAQ antes de executar a configuração.

¿Como instalar o SNORT no Ubuntu?

Snort no Ubuntu se instala no diretório /usr/local/bin/ snort , é uma boa prática criar um enlace simbólico a /usr/sbin/ snort . Para executar o Snort no Ubuntu de forma segura sem acesso root, devemos criar um novo usuário sem privilégios e um novo grupo de usuários para que o demônio seja executado.

¿Qué es SNORT para Windows?

Snort é uma ferramenta de código aberta para administradores de sistemas que permite realizar uma análise em tempo real do tráfego de um IP vermelho e que tem como objetivo a detecção de intrusos e o registro de pacotes.

Ir arriba